Docker

Guia Rápido

Aqui estão os top 3 cuidados ao criar seu container:

1. Não execute seu container como Root

Defina um usuário para a execução do seu programa.

FROM alpine:3.12
RUN groupadd -r myuser && useradd -r -g myuser myuser
<HERE DO WHAT YOU HAVE TO DO AS A ROOT USER LIKE INSTALLING PACKAGES ETC.>
USER myuser

Você também pode optar por executar o container no modo rootless.

2. Escolha uma imagem oficial e use com a tag específica

Estamos (mal)acostumados a usar o bom e velho myimage:latest, porém podemos ter algumas surpresas desagradáveis caso alguma destas imagens seja atualizada e quebre nosso código.

Então utilize apenas imagens oficiais com a tag bem definida:

# 🚫 
FROM alpine
 
# ✅
FROM alpine:3.12

3. Execute um scan de vulnerabilidades

Sempre que for realizar o build de sua imagem, execute um scan para verificar se não existem vulnerabilidades preocupantes nele (foco principal nas HIGH e CRITICAL).

Uma das opções é utilizar o Trivy.

https://user-images.githubusercontent.com/1161307/171013513-95f18734-233d-45d3-aaf5-d6aec687db0e.mov

Links Úteis

Artigos

• Oficial - Docker security
• OWASP - Docker Security Cheat Sheet
• Aqua - Top 20 Docker Security Best Practices: Ultimate Guide
• Snyk - 10 best practices to build a Java container with Docker
• ReynardSec - Docker Security – Step-by-Step Hardening (Docker Hardening)

Vídeos

• HackerSploit - Docker Security Essentials | How To Secure Docker Containers
• TechWorld with Nana - Top 8 Docker Best Practices for using Docker in Production

Labs / Tutoriais / Cursos

• TryHackMe - DEEPCE (precisa estar logado no THM)
• Play With Docker: tutoriais, labs hands-on e treinamentos para aprender docker.
• FreeCodeCamp :: Docker Containers and Kubernetes Fundamentals – Full Hands-On Course

Tools

• DEEPCE - Docker Enumeration, Escalation of Privileges and Container Escapes